기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# MSK Replicator를 생성하는 데 필요한 IAM 권한
<a name="msk-replicator-create-iam-perms"></a>

를 호출하는 IAM 보안 주체(사용자 또는 역할)에는이 섹션에 설명된 권한이 `CreateReplicator` 필요합니다. 클라이언트에 해당하는 IAM 자격 증명에이 정책을 연결합니다. 권한 부여 정책 생성에 대한 일반적인 지침은 [권한 부여 정책 생성을](https://docs.aws.amazon.com/msk/latest/developerguide/iam-access-control.html#create-iam-access-control-policies) 참조하세요.

아래 **기본 정책**으로 시작합니다. 로그 전송도 구성하는 경우 사용하는 각 대상에 대해 코드 조각을 추가합니다( 참조[로그 전송을 위한 추가 권한](msk-replicator-create-iam-perms-logs.md)). 자체 관리형 Apache Kafka 마이그레이션 시나리오는의 추가 서비스 실행 역할 지침을 참조하세요[비 MSK Apache Kafka 클러스터에서 Amazon MSK Express 브로커로 마이그레이션](msk-replicator-migrate-external.md).

## 기본 IAM 정책
<a name="msk-replicator-create-iam-perms-base"></a>

자리 표시자를 계정 ID, AWS 리전서비스 실행 역할 이름, 소스 및 대상 클러스터 ARNs. 작업은 생성 중에 태그를 제공하는 `kafka:TagResource` 경우에만 필요합니다.

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Sid": "MSKReplicatorIAMPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::<accountID>:role/<serviceExecutionRoleName>",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "kafka.amazonaws.com"
                }
            }
        },
        {
            "Sid": "MSKReplicatorServiceLinkedRole",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::<accountID>:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*"
        },
        {
            "Sid": "MSKReplicatorActions",
            "Effect": "Allow",
            "Action": [
                "kafka:CreateReplicator",
                "kafka:DescribeReplicator",
                "kafka:DeleteReplicator",
                "kafka:ListReplicators",
                "kafka:ListTagsForResource",
                "kafka:UpdateReplicationInfo",
                "kafka:TagResource"
            ],
            "Resource": [
                "arn:aws:kafka:<region>:<accountID>:replicator/*"
            ]
        },
        {
            "Sid": "MSKReplicatorListActions",
            "Effect": "Allow",
            "Action": [
                "kafka:ListReplicators"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "EC2Actions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcs"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "MSKClusterActions",
            "Effect": "Allow",
            "Action": [
                "kafka:GetBootstrapBrokers",
                "kafka:DescribeClusterV2"
            ],
            "Resource": [
                "<sourceClusterArn>",
                "<targetClusterArn>"
            ]
        }
    ]
}
```

**참고**  
`ec2:DescribeSubnets`, `ec2:DescribeSecurityGroups`및 `ec2:DescribeVpcs` 작업은 리소스 수준 권한을 지원하지 않으므로를 지정해야 합니다`"Resource": "*"`. [Amazon EC2 참조는 작업, 리소스 및 조건 키를 참조하세요](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html).